avatar

Marcin Sałaciński

IT Project Manager
Kierownik projektu, analityk i projektant z szeroką wiedzą techniczną i doświadczeniem w procesie tworzenia oprogramowania, zdobytymi w trakcie realizacji projektów, także dofinansowywanych z UE.

dodany: 29.01.2013 | tagi: , ,

Trendy w infrastrukturach firmowych

0
Trendy w infrastrukturach firmowych

Każda firma potrzebuje wsparcia działalności przez IT, niezależnie od jej wielkości. Dla większych organizacji będzie to odpowiednia infrastruktura wraz z serwerami, aplikacjami i innymi elementami niezbędnymi do jej działania. Małe firmy teoretycznie nie potrzebują skomplikowanych i rozbudowanych struktur (poza tym byłoby to dla nich zwyczajnie za drogie i niedostępne), a wystarczają proste systemy lub nawet ich brak (np. w jednoosobowej działalności). Można zażartować, że każdy ma takie IT, na jakie sobie zasłużył :-). Oczywiście im większe zakupy dla IT, tym wyższe koszty, nie tylko samego wdrożenia, ale też i utrzymania. Serwery, systemy backupowe, monitoring i urządzenia sieciowe nie będą działać same i musi być ktoś, kto ich dogląda i usuwa usterki i problemy. Oznacza to zatrudnienie odpowiednio wykwalifikowanego personelu, wydatki na szkolenia i utrzymanie wysokiego poziomu usług.

(więcej…)

dodany: 22.01.2013 | tagi: , ,

Jaki antywirus jest najlepszy?

1
Jaki antywirus jest najlepszy?

Zastanawiając się nad sensem instalowania zabezpieczeń w systemie operacyjnym w jednym z poprzednich artykułów, wspomniałem jedynie ogólnie o programach antywirusowych. Po komentarzach Czytelników do tego wpisu pomyślałem, że może warto nieco rozszerzyć temat i może podsunąć materiał, który pokrótce streści najbardziej popularne aplikacje i może dzięki niemu Czytelnicy będą mogli wybrać coś dla siebie.

(więcej…)

dodany: 14.01.2013 | tagi: , ,

Analizy bezpieczeństwa systemów w projektach IT

1

Realizując projekty IT w organizacjach, kierownik projektu skupia się przede wszystkim na dostarczeniu wymaganego rezultatu z odpowiednim zakresem, na czas i zgodnie z budżetem. Są to podstawowe i uniwersalne parametry i mają znaczenie w każdym projekcie, niezależnie od wielkości czy ważności. Oprócz nich jest wiele innych czynników mających wpływ na wynik, ale ich znaczenie ma ścisły związek z rodzajem projektu i jego skalą. Może to być przykładowo zgodność z polityką bezpieczeństwa w firmie, obowiązującymi standardami, czy nawet konieczność specjalnego traktowania wybranej grupy użytkowników.

Często te zagadnienia są ściśle związane z wielkością organizacji. Duże firmy mają zwykle usystematyzowaną działalność i procesy biznesowe, wdrożone rozmaite procedury i standardy (np. ISO, ITIL), które wymuszają wykonywanie dodatkowych zadań w projektach, przygotowanie rozmaitej dokumentacji i dopilnowania kwestii, które mogą być kompletnie obce właścicielom i pracownikom małych firm. Mnogość procedur jest czasem konieczna, a bez nich nie byłaby możliwa sprawne funkcjonowanie organizacji zatrudniającej setki i tysiące pracowników.

Projekty w takich firmach mogą wymagać od zespołu nie tylko przygotowania specyfikacji funkcjonalnych, technicznych i projektu systemu, ale także towarzyszących produktów jak np. umowa SLA (Service Level Agreement), umowa OLA (Operational Level Agreement), BC (Business Case), dokument SLR (Service Level Requirements), dokument zakresu projektu, protokół odbioru, dokument Lessons Learned  i wiele innych. Wszystko zależy od specyfiki, procesów, procedur i wykorzystywanej metodyki projektowej. Wdrażanie w tej sytuacji nowych lub zmienionych rozwiązań może także wymagać dodatkowych czynności i weryfikacji wykonywanych w trakcie i po projekcie – okresy stabilizacji, wiele procedur odbioru systemu, formalne przekazanie do zespołu utrzymaniowego, itd. Może to być także zapewnienie odpowiedniego poziomu bezpieczeństwa w związku z dostarczanym systemem – i nie do końca chodzi tu o sam fakt użycia dobrych zabezpieczeń w rozwiązaniu, ale także o wpływ, jaki będzie on miał na całą firmę i jej otoczenie .

W małych kilkuosobowych firmach nie ma zwykle świadomości jaki właśnie wpływ ma konkretna aplikacja na użytkowników, samą organizację i jej klientów. Instaluje się to, co akurat jest potrzebne, wprowadza się produkty spełniające wymagania, a kierownictwo skupia się na użyciu dobrej i korzystnej finansowo aplikacji. Używane są standardowe lub dostarczane z systemem operacyjnym programy pocztowe czy biurowe i nie istnieje jakakolwiek polityka bezpieczeństwa (o tym zagadnieniu pisałem w jednym z poprzednich artykułów). Z jednej strony to źle, że nie jest to poukładane, z drugiej strony narzucenie procedur i formalności mogłoby bardzo utrudnić działalność i zwyczajnie może to nie być potrzebne.

Im większa firma, tym więcej może być problemów, jeśli nikt nie dba chociażby o standaryzację oprogramowania i sprzętu, a nie ma możliwości, żeby nie było nawet podstawowej polityki bezpieczeństwa. To rzutuje także na podejście do realizacji projektów – jeśli istnieje taka polityka, musi być zapewnione jej stosowanie, także w trakcie dostarczania nowych lub zmienionych systemów. Można to wykonywać na różnych etapach życia systemu:
1. Tworzenie wymagań dla nowego systemu i zmian lub CR’ów (Change Request) dla istniejącego
2. Tworzenie projektu zmian systemu lub nowego wdrożenia
3. Testy rozwiązania
4. Weryfikacja w trakcie wdrożenia
5. Okresowe testy bezpieczeństwa i monitoring w okresie utrzymania systemu

Jak widać powyżej, jest wiele okazji do konfrontacji wymagań z funkcjonalnościami systemu. Najlepiej jest pamiętać o wymogach i standardach już od pierwszego etapu, aby uniknąć niespodzianek np. w trakcie testów aplikacji, które wykazują, że zgodnie z polityką nie powinna ona w ogóle być używana. Może wtedy dojść do trudnych lub kosztownych do wykonania w tym momencie wymaganych zmian, aby być w zgodzie ze standardami. Jak jednak określić co powinien robić ten system, a co jest groźne i czego należy unikać? Jakie są kryteria, zagadnienia, które musimy uwzględnić, żeby upewnić się że system jest dobry i zgodny z wytycznymi?

Na te pytania odpowiada właśnie polityka bezpieczeństwa, która powinna jasno definiować nakazy, zakazy, standardy i wytyczne. Jest to jednak zbiór faktów i często kilkudziesięciostronicowy dokument, analizowanie którego w każdym projekcie mijałoby się z celem. Dlatego stosuje się jeszcze jedno zadanie projektowe, które może być różnie nazywane w zależności od danej organizacji, ale cel ma jeden – przeanalizowanie architektury rozwiązania i opisanie wpływu jego uruchomienia (lub wdrożenia zmian) na jego otoczenie – użytkowników, firmę, klientów itp. Można to zadanie w skrócie nazwać analizą bezpieczeństwa systemu. Oprócz różnych jego nazw, rozmaite mogą być także sposoby jego realizacji w różnych firmach. Najprostsze podejście może polegać na tabeli, w której jest lista zagadnień i zwyczajnie weryfikujemy kolejno, czy dany system spełnia wymagania, czy też konieczne są jakieś zmiany. Może to też być żmudna i szczegółowa analiza wszystkich zagadnień krok po kroku wraz z sugestiami rozwiązań, jeżeli napotkano jakiekolwiek niezgodności. Zależy to od metodyki projektowej i stosowanych w danej firmie procedur.

Sam proces analizy może Wam się wydać prosty – w sumie nad czym tu się zastanawiać? Mało bezpieczne hasło oznacza potencjalne włamanie, kradzież danych, straty – żadna filozofia – po co zatem kompleksowa analiza? Rzeczywiście na pierwszy rzut oka zagrożenia są łatwe do zidentyfikowania i w 15 minut wielu z Was pewnie poda kilkanaście przykładów dla dowolnej aplikacji. Trzeba jednak mieć świadomość, że jest wiele zagadnień, które nie tylko są powiązane ze sobą, ale mają wpływ na bardzo szerokie otoczenie systemu, także poza firmą. I tu widać przyczynę, dla której takie analizy są konieczne.

Jak już wspomniałem powyżej, analiza może być robiona na różne sposoby, mniej lub bardziej skomplikowane. Tak samo lista badanych zagadnień może być różna i bardziej lub mniej rozbudowana. Bazując na standardzie ITIL (IT Infrastructure Library) można przytoczyć najbardziej typowe punkty widzenia na zagadnienia bezpieczeństwa – będące określane także jako kluczowe zasady bezpieczeństwa – CIA (Confidentiality, integrity, Availability):
1. poufność – dostęp do danych jest możliwy tylko przez uprawnione zasoby
2. integralność – modyfikacja danych jest możliwa tylko przez uprawnione zasoby
3. dostępność – dane są dostępne zawsze wtedy, gdy jest to konieczne zgodnie z ustalonymi warunkami
Więcej informacji na temat zagadnień znajdziecie np. na anglojęzycznej stronie wiki, a mogą one być rozszerzane kolejnymi, zależnie od potrzeb.

Same kryteria są na tyle ogólne, że nie dają na razie pojęcia o potencjalnym wpływie na otoczenie czy możliwych zagrożeniach. Jeżeli jednak skonfrontujemy je z drugą listą, która wymieni wszystkie możliwe skutki (które są już zdefiniowane w polityce bepieczeństwa, lub stworzymy je sami), wtedy powinniśmy już być blisko.

Załóżmy, że zastanowimy się nad następującymi kategoriami:
1. Finanse- opóźnione wpływy, straty, kary, zmiany kursu akcji firmy, odszkodowania
2. Wizerunek – utrata dobrego postrzegania firmy, zaburzenia opinii
3. Działanie – niemożliwość funkcjonowania firmy, przestoje w pracy
4. Życie/zdrowie – szkody osobowe, wypadki
5. Prawo – procesy karne, ściganie przez instytucje
Można wymieniać dalej i jeszcze bardziej uszczegóławiać – jeśli jest taka potrzeba. Myślę jednak, że na razie wystarczy do dalszych prac.

Mając kryteria i kategorie skutków możemy zastanowić się, jakie będą punkty styku pomiędzy nimi, a dodatkowo można zejść głębej i przeprowadzić dochodzenie nie tylko dla całego systemu, ale dla poszczególnych funkcjonalności. Chwila przemyślenia każdego z nich da Wam na pewno ciekawe wyniki.

Zróbmy teraz dla ćwiczenia analizę jednej z wymyślonych przeze mnie funkcjonalności:

“System X wspiera działalność stacji pogotowia ratunkowego. Jedną z funkcji jest prezentacja adresu powiązanego z identyfikowanym numerem telefonu osoby dzwoniącej.”

Na pierwszy rzut oka wszystko wydaje się proste – wyświetla się adres, karetka jedzie, ratuje istnienie ludzkie.
Teraz załóżmy, że nie jest dostępny system udostępniający adresy na podstawie podanego numeru telefonu – nie wyświetla się żaden adres, czyli nie jest zapewniona dostępność informacji. Osoba dzwoniąca w szoku odruchowo podaje nie ten adres co powinna i karetka jedzie w przeciwnym kierunku.

Zastanawiając się nad skutkami, przejdźmy przez listę:
1. Finanse – jest wpływ – kurs karetki kosztuje i pojechała pod błędny adres
2. Wizerunek – także jest wpływ – zła opinia o stacji pogotowia rozchodzi się błyskawicznie
3. Działanie – niewielki wpływ, ale jest – ta karetka może być potrzebna gdzie indziej
4. Życie lub zdrowie – jest wpływ – w końcu stan zdrowia pacjenta może się pogorszyć.
5. Prawo – identycznie jak powyżej – pacjent może zgłosić się do sądu z roszczeniami

Przykład obrazuje pozornie niewielką funkcjonalność, która może mieć ogromny wpływ nie tylko na finanse, ale także może zagrozić ludzkiemu życiu. Wszystko przez niewielki błąd, który być może prześliznął się przez testy, ale dzięki skrupulatnie przeprowadzonej analizie bezpieczeństwa może ta i inne równie krytyczne funkcje będą bardziej szczegółowo potraktowane. Możliwe jest także dokładne monitorowanie poszczególnych modułów i wychwytywanie każdej niedostępności lub błędów działania.

Takie analizy mają bardzo duże znaczenie w dużych firmach, gdzie wpływ na otoczenie może być czasem ogromny, a straty mogą być milionowe lub wyższe. Wyobraźcie sobie, co może się stać jeżeli zawiesi się system nadzorujący chłodzenie reaktora elektrowni jądrowej, a w trakcie projektowania zapomniano zaprojektować zapasowego chłodzenia. Są właśnie takie sytuacje czy firmy, w których szczegółowe weryfikacje są niezbędne i są częścią obowiązkowych procesów.

Analizy bezpieczeństwa pozwalają stwierdzić, czy systemy są zaprojektowane dobrze, ale także, gdzie są pola do poprawy. Dlatego tak ważne jest zrobienie ich na samym początku projektu, nawet jeszcze w fazie zbierania wymagań – wtedy łatwiej jest zmienić projekt i dostosować system do wyników analizy – w przeciwnym razie może się okazać, że niepozorna zmiana, która jest konieczna, będzie się wiązała z dużymi kosztami i przesunięciem wdrożenia w czasie.

Oczywiście nie można też popadać w paranoję – wszystko musi być wyważone i dostosowane do sytuacji i potrzeb. W przeciwnym razie funkcjonowanie biznesu może być paradoksalnie zagrożone – przygotowanie długich i złożonych analiz jak dla elektrowni jądrowej np. dla gry na urządzenie mobilne będzie raczej absurdalne.

Jeżeli jesteście zainteresowani tematem takich analiz – zapraszam do kontaktu ze mną lub poszukiwań w sieci. Warto rozpocząć od podawanej przeze mnie wcześniej strony na wiki, można także zapoznać się z dobrymi praktykami ITIL, które porządkują zagadnienia bezpieczeństwa w firmie.

dodany: 02.01.2013 | tagi: , , ,

Czy można ufać transakcjom zbliżeniowym?

6
Czy można ufać transakcjom zbliżeniowym?

Korzystanie z kart płatniczych stało się czymś normalnym i nie wyobrażamy sobie życia bez tego małego kawałku plastiku, dzięki któremu nie musimy nosić przy sobie gotówki. Daje nam to wolność, bo gdziekolwiek nie jesteśmy, możemy płacić bez poszukiwania bankomatu w pobliżu. Początkowo były to karty wypukłe, używane w bankomatach i ręcznych terminalach (imprinterach), później pojawiły się karty płaskie do płatności elektronicznych, karty czipowe, a teraz szturmem weszły karty zbliżeniowe (PayPass, payWave) i moduły NFC (Near Field Communication) w telefonach komórkowych. Płatności zbliżeniowe są mocno reklamowane, a wydawcy kart i banki zachęcają nas do nich na wszelkie możliwe sposoby. Ostatnio w niektórych bankach karty są wymieniane za darmo na obsługujące te płatności i nawet czasem nie ma możliwości wyrobienia “zwykłej” karty. Płatności bezdotykowe mają gorących zwolenników, ale sporo osób się ich obawia – czy słusznie?

(więcej…)

dodany: 31.12.2012 | tagi: , , , ,

Czy warto używać dodatkowych zabezpieczeń dla systemów?

7
Czy warto używać dodatkowych zabezpieczeń dla systemów?

Korzystając z internetu i poruszając się po rozmaitych stronach skupiamy się na tym, żeby otrzymać to czego szukamy, znaleźć informacje, które są nam akurat potrzebne i obejrzeć różne materiały. Najczęściej znajdujemy rezultaty w dowolnej wyszukiwarce i przechodzimy do stron, które są nam wyświetlane na liście pierwszych od góry pozycji. Po pobieżnym rzucie oka na proponowany link odwiedzamy strony, które wydają się nam odpowiednie, ale już nie myślimy, czy są one bezpieczne i czy nie ma tam zagrożenia. Samo odwiedzanie witryn to tylko fragment działania, które może się skończyć kłopotami – może to być używanie klientów P2P, ściąganie nieznanych plików uruchamialnych, albo nawet wystawienie swojego komputera w świat na publicznym numerze IP bez żadnych firewalli czy filtrów. “Jest wiele możliwości, bardzo wiele” cytując jeden ze starych i bardzo znanych polskich filmów :-)

(więcej…)

dodany: 28.12.2012 | tagi: , ,

SSO – ułatwienie czy przekleństwo?

4

Współczesne systemy operacyjne umożliwiają konfigurację wielu kont – profili użytkowników. Komputer przeciętnego śmiertelnika ma jednak skonfigurowane w systemie operacyjnym tylko jedno takie konto. Często włączone jest automatyczne logowanie na to konto po uruchomieniu systemu i nie myślimy o tym, że trzeba wpisać login i hasło. Wszystko po to, żeby można było rozpocząć używanie jak najszybciej i nie musieć pamiętać zbędnych danych (w końcu skoro sami korzystamy z komputera, to po co nam logowanie? :-))

Po uruchomieniu/wznowieniu systemu uruchamiamy aplikacje, otwieramy przeróżne strony internetowe i najczęściej pozwalamy przeglądarce zapamiętać dane logowania, żeby było szybciej, prościej i wygodniej. Całe szczęście większość usług czy aplikacji umożliwia zapamiętanie loginu i hasła albo nawet ich nie wymaga (z reguły dotyczy to programów instalowanych w systemie operacyjnym komputera). Zasada ta dotyczy komputerów prywatnych. Jak to wygląda w sprzęcie wykorzystywanym w pracy? Wielu z Was, pracujących w niedużych firmach, pewnie stwierdzi – „oczywiście wygląda tak samo, z tą różnicą że używam innych programów”. A jak ta sytuacja zmienia się w dużych firmach i korporacjach? Czy nadal jest to tak bezproblemowe?

Nie ma jednej odpowiedzi – wszystko zależy od infrastruktury IT w danej firmie, od wykorzystywanych aplikacji, systemów, polityki bezpieczeństwa i innych uwarunkowań. Może być tak, że korzysta się głównie z lokalnych programów, a systemy intranetowe są rzadko wykorzystywane. Może być odwrotnie – lokalne aplikacje są w mniejszości, a użytkownicy masowo muszą korzystać ze współdzielonych systemów lub portali intranetowych wymagających złożonych mechanizmów uwierzytelnienia i autoryzacji. Pierwszy wariant rzeczywiście mało różni się od użytku prywatnego. Drugi już wymaga dużo więcej zarówno od użytkowników, jak i działu IT w firmie.

Im więcej przeróżnych aplikacji i systemów dostępnych dla użytkowników, tym więcej może być odmiennych sposobów uzyskania uprawnionego dostępu do ich zasobów. Z reguły duże firmy i korporacje nie wykorzystują jednorodnych rozwiązań, a są one tworzone i dostarczane przez wielu dostawców na bazie rożnych technologii, a także mogą spełniać zupełnie rozbieżne oczekiwania poszczególnych działów organizacji. To powoduje, że nie jest łatwe (lub jest niemożliwe) opracowanie jednakowego sposobu logowania do wszystkich dostępnych systemów. Oczywiście, im więcej różnych systemów z odmiennymi metodami logowania, dopuszczalną składnią haseł, czy też częstotliwością wymuszenia zmiany hasła na nowe (co 30 dni, co 90 dni, a nawet wcale), tym więcej danych dostępowych do zapamiętania i tym większe ryzyko nieumyślnego ich ujawnienia, utraty, zapomnienia itd. Niektórzy użytkownicy w takiej sytuacji próbują sobie radzić z mnogością parametrów zapisywaniem wszystkich loginów i haseł na przysłowiowych żółtych karteczkach i dla ułatwienia trzymają je w pobliżu komputera. Jest to niewłaściwe zachowanie, ale jest wymuszone skomplikowaniem sposobów dostępu do aplikacji.

 

SSO jako kombajn do logowania

Jak poradzić sobie z takim zagmatwaniem dostępów i wdrożyć podejście ułatwiające życie użytkownikom? Nie zawsze można (i jest to bezpieczne) zrezygnować z wprowadzania danych dostępowych, a czasem spowodowałoby to jeszcze bardziej utrudnione korzystanie z systemów i aplikacji. Pomijając inne sposoby zmniejszania rygoru bezpieczeństwa, chciałbym szerzej wspomnieć o podejściu, które rozwiązuje wiele problemów opisanych powyżej, ale wymaga kompleksowej zmiany architektury i nie zawsze jest wykonalne w 100%. Rozwiązanie to zostało nazwane SSO – Single Sign-On („pojedyncze logowanie” lub też „jednokrotna rejestracja”) – czyli metoda uzyskiwania przez użytkowników dostępu do zasobów – aplikacji, systemów, które są odrębne i najczęściej mają różne mechanizmy logowania. Jest kilka rodzajów tego podejścia, ale chciałbym się skupić na jednym z nich wykorzystującym tickety do logowania. Jeżeli jesteście zainteresowani pozostałymi, zapraszam do Wikipedii, gdzie znajdziecie start do dalszych poszukiwań.

Rozwiązanie to polega na uruchomieniu centralnej usługi uwierzytelniającej (niektórzy zwą to „autentykacją” przenosząc zwrot wprost z języka angielskiego), która zostaje zintegrowana z najlepiej wszystkimi systemami, które są wykorzystywane. Użytkownik raz podaje login oraz hasło i dostaje się do każdej aplikacji zintegrowanej z SSO. Dzięki temu nie trzeba każdorazowo podawać najczęściej różnych loginów i haseł ani też pamiętać wielu kombinacji danych. W praktyce wygląda to tak, że po wejściu do aplikacji korzystającej z SSO użytkownik zostaje przekierowany do usługi uwierzytelniającej. Tam się loguje, a następnie zostaje mu przydzielony unikatowy identyfikator sesji (ticket), który następnie jest przekazywany do aplikacji. Na tej podstawie aplikacja jest w stanie stwierdzić, że osoba uzyskująca dostęp jest tym, za kogo się podaje, a także, że jej sesja nie wygasła i może być dopuszczona do zasobów systemu.

Powyższa ścieżka dostępu z wykorzystaniem tego podejścia może się wydawać prosta, jednak aby zadziałała, musi być przeprowadzona czasem trudna (lub nawet niemożliwa z różnych względów) integracja danego systemu czy aplikacji z usługą SSO. Usługa musi być świadoma istnienia systemu, do którego ma wpuszczać użytkowników, a dana aplikacja musi wiedzieć, że każde logowanie ma być uzgadniane z SSO. Trudność tu polega na tym, że w firmach często stosuje się naprawdę różnorakie rozwiązania i konieczność spięcia każdego z nich z osobna z centralną usługą może generować wysokie koszty i musi być mocno uzasadniona ekonomicznie. Pomimo oczywistej wygody rozwiązania może się okazać, że nakłady finansowe potrzebne na kompleksowe wdrożenie takiego rozwiązania są tak wysokie, że zarząd firmy lub dyrekcja działu IT nie podejmie się zmiany architektury. Dużo łatwiejsza jest integracja nowych planowanych i powstających aplikacji, które mogą już w założeniach przewidywać konieczność spięcia z SSO.

 

Zalety i wady stosowania w firmie

Pisząc o wygodzie użytkowników nie można zapomnieć o działach IT i wsparcia (Help Desk) – te grupy pracowników także dość mocno skorzystają z takiego rozwiązania. Nakład pracy konieczny na utrzymanie mechanizmów logowania jest dużo mniejszy, drastycznie spada liczba zgłoszeń użytkowników z prośbą o reset hasła, wygenerowanie nowego, pomoc przy dostępie do aplikacji itp. Obsługa interfejsów pomiędzy aplikacjami i usługą SSO można zautomatyzować, co nie wymaga wiele pracy już w trakcie utrzymania tych rozwiązań.

Trzeba pamiętać, że istnieje także zdecydowana wada takiego rozwiązania – jeden punkt dostępu do wszystkich możliwych (zintegrowanych) systemów i aplikacji – oznacza to, że potencjalny włamywacz musi pokonać tylko to jedyne zabezpieczenie, po czym ma dostęp do innych usług. Zadaniem poważnej usługi SSO jest oczywiście zapewnienie odpowiedniego poziomu bezpieczeństwa, ale jest to już większe wyzwanie i wymaga większej dbałości i monitoringu.

Nie chciałbym w tym artykule się odnosić do konkretnego rozwiązania SSO – istnieją zarówno komercyjne, jak i darmowe. Myślę, że najlepszym źródłem, z którego możecie zaczerpnąć sporo wiedzy na temat dostępnych opcji jest załączona tabela na Wikipedii – pomimo braku szczegółowych opisów z łatwością dotrzecie do szczegółów mając ten świetny zbiorczy materiał porównawczy.

To, czy wykorzystane może być rozwiązanie SSO płatne lub darmowe, zależy nie tylko od możliwości finansowych firmy – trzeba wziąć pod uwagę możliwości integracyjne, ograniczenia i współpracę z istniejącymi systemami i usługami. Może się okazać, że produkt komercyjny, kosztujący określoną kwotę, jest finalnie tańszy, niż pozornie darmowe rozwiązanie open source. Duży wpływ ma dostępna pula gotowych konektorów do rozwiązań, dzięki czemu nie ma konieczności ich tworzenia od podstaw. Wdrożenie SSO musi być poprzedzone analizą wszystkich rozwiązań, które mają być spięte, a dodatkowo testami. W zależności od firmy może się też okazać, że są kluczowe systemy, które są tak niesamowicie drogie w integracji z centralną usługą uwierzytelniającą, że nie będzie w ogóle fizycznej możliwości wdrożenia procesu logowania opisanego wcześniej.

W takiej sytuacji pomocne mogą być rozwiązania stosowane w dużych firmach i korporacjach, działające w nieco inny sposób niż powyższy. Nie wymagają integracji z systemami zastanymi, aplikacjami czy usługami, nie jest konieczne ich modyfikowanie i ponoszenie kosztów na dostosowanie do usługi SSO. Dla użytkownika są one dużo bardziej transparentne niż usługa wykorzystująca tickety i sprawiają wrażenie po wdrożeniu, jakby się prawie nic nie zmieniło – nadal używamy formularzy danej aplikacji czy usługi, nie ma osobnego i nowego ekranu logowania. W skrócie proces logowania działa następująco: użytkownik otwiera dany system czy aplikację, widzi formularz wprowadzania danych logowania, a w tym momencie rozwiązanie przechwytuje formularz i automatycznie wprowadza dane użytkownika, do którego należy jedynie zatwierdzenie ich i wejście do aplikacji. Rozwiązania takie wymagają utworzenia odpowiednich konfiguracji szablonów i definicji dla poszczególnych rozwiązań określających obsługę pól wprowadzania danych logowania. Oprócz automatycznego wprowadzania danych możliwa jest zmiana hasła po wygaśnięciu starego i wiele innych funkcji wymaganych przez procedury bezpieczeństwa w firmie.

W tym podejściu nie jest, co prawda, konieczna implementacja integracji z poszczególnymi systemami, ale trzeba skonfigurować samo rozwiązanie, aby wiedziało jak obsługiwać rozmaite formularze logowania w każdej usłudze i sposób działania może się wielu z Was wydawać nienaturalny – w końcu przechwytywanie wprowadzania danych przez użytkowników kojarzy się z keyloggerami i może sprawiać wrażenie rozwiązania „siłowego” a nie prawdziwej integracji. Takie systemy są jednak popularne z uwagi na właśnie brak ingerencji w istniejące usługi, które czasem zwyczajnie nie mogą być zmodyfikowane z uwagi na koszty lub fakt, że są mocno przestarzałe, ale nadal ważne i w użyciu.

Nie powinno raczej być problemu, aby zastosować łączone podejście – część systemów zintegrować z użyciem centralnej usługi uwierzytelnienia, część z wykorzystaniem innych sposobów zapewnienia jednokrotnego logowania. Wszystko zależy od aktualnej sytuacji i zastanych systemów – dlatego wspominałem o koniecznej analizie i testach – w ich trakcie można zidentyfikować najbardziej optymalne podejście. Z marszu można podjąć taką decyzję tylko w prostych sytuacjach i w małych firmach, gdzie jest niewiele systemów i z reguły od razu wiadomo, z czego warto skorzystać. Zachęcam jednak do poszukiwania nowych sposobów – jak wszystko w informatyce – także ta dziedzina zmienia się i trzeba być na bieżąco.

dodany: 17.12.2012 | tagi: ,

Tworzenie polityk bezpieczeństwa w firmie

0
Tworzenie polityk bezpieczeństwa w firmie

Pisząc poprzednie artykuły dotyczące m.in zabezpieczania haseł w systemach onlineudostępniania systemów na zewnątrz firmowej sieci LAN, czy też przechowywania danych w urządzeniach mobilnych, pomyślałem, że może warto spojrzeć na zagadnienie bezpieczeństwa od nieco innej, ogólnej strony. Do tej pory starałem się opisywać poszczególne tematy, jednak wszystkie one prowadzą w jednym kierunku – jak zadbać o zapewnienie kontroli nad własnymi danymi i urządzeniami oraz infrastrukturami. Przeciętnemu użytkownikowi komputera podłączonemu do internetu powinno wystarczyć stosowanie kilku podstawowych zasad (np. program antywirusowy z aktualnymi bazami, zabezpieczanie haseł, szyfrowanie danych lub nawet odrobina wiedzy i zdrowego rozsądku). Jak to jednak wygląda w firmach? Czy wystarczą takie proste metody?

(więcej…)

dodany: 13.12.2012 | tagi: , , ,

Przechowywanie danych w urządzeniach mobilnych

7

Zdecydowana większość z nas (o ile nie wszyscy czytelnicy tu zamieszczanych artykułów) posiada telefon komórkowy, który nie jest już zwykle urządzeniem służącym tylko do dzwonienia i przesyłania wiadomości. Smartfony stają się coraz powszechniejsze, a wybierając nowy telefon w salonie operatora z reguły jesteśmy na nie skazani i ciężko znaleźć model bez ekranu dotykowego, wszechstronnego systemu operacyjnego i możliwości instalowania setek aplikacji. Dość mocno rośnie także liczba użytkowników tabletów, które znalazły sobie miejsce pomiędzy telefonami, a laptopami.

Używając tych małych komputerów i nosząc je na co dzień w kieszeni nie myślimy o tym, że w takim niewielkim urządzeniu mogą być przechowywane rozmaite ważne czy cenne dane lub informacje o nas samych. Szczególnie w urządzeniach wyposażonych w systemy operacyjne Android, iOS czy Windows mamy możliwość konfiguracji i zapisu danych wielu kont pocztowych, loginów, haseł, namiarów na konta bankowe, a ponadto każda z aplikacji też zapisuje swoje dane podręczne.

Dbamy o to, żeby niepowołane osoby nie miały wglądu w nasz profil w systemie operacyjnym laptopa czy komputera stacjonarnego, a czasem dodatkowo zabezpieczamy i szyfrujemy nasze dane i ukrywamy hasła do systemów i kont. Traktujemy komputer jako urządzenie, w którym są nasze ważne i cenne informacje. Niewiele jednak osób myśli o tabletach i smartfonach jako równoważnych skarbnicach danych. Zastanówcie się przez chwilę – czy oprócz numeru PIN do swojej karty SIM skonfigurowaliście jakiekolwiek dodatkowe zabezpieczenie w telefonie? Czy ustawiliście chociaż blokadę wymagającą odpowiedniego kodu po odblokowaniu wyświetlacza? Jestem prawie pewien że odpowiedź w zdecydowanej większości przypadków będzie brzmiała „NIE”.

Wyobraźcie sobie teraz sytuację, że tracicie swój telefon czy tablet – może się zdarzyć wszystko – kradzież, zalanie wodą,  zniszczenie urządzenia, zgubienie itd. O ile ostatnie sytuacje nie są zagrożeniem dla bezpieczeństwa Waszych danych, a co najwyżej istnieje ryzyko ich całkowitej utraty (na to są odpowiednie sposoby – kopie zapasowe, synchronizacja danych z komputerem czy dyskiem/kontem sieciowym), to pierwsze zdarzenie może naprawdę narobić Wam kłopotu. Jeżeli nie blokujecie dostępu do systemu operacyjnego w żaden sposób – czy to kodem czy inną metodą (tak jak gesty w Androidzie), to po przechwyceniu telefonu, niepowołana osoba ma dostęp do wszystkich Waszych informacji – kontakty, wiadomości sms, e-maile, dokumenty, zdjęcia – wszystkiego co zapisujecie w telefonie i nim przesyłacie. Jakie mogą być skutki – łatwo sobie wyobrazić.

Problem utraty danych jest o tyle ważny, że często w telefonie mamy nie tylko prywatne informacje, ale przechowujemy biznesowe dane, które mogą być niezwykle cenne i niebezpieczne dla firmy, w której pracujecie. Dotyczy to szczególnie telefonów BlackBerry, dzięki którym uzyskujecie bezpośredni dostęp do korporacyjnej poczty, książki adresowej, kalendarza itp. i jeżeli nie zablokujecie telefonu, złodziej widzi wszystkie te dane. To może narazić firmę na ogromne straty, a Was na nieprzyjemności. Nawet jeśli nie macie takiego telefonu, to firma może używać innych rozwiązań poczty elektronicznej, chociażby kont w dedykowanej domenie na Google – działa to wtedy tak samo jak dla prywatnych kont e-mail.

Oczywiście nie ma zabezpieczeń nie do złamania i wszystko można obejść, ale każde, nawet najdrobniejsze utrudnienie może zniechęcić lub wydłużyć czas do uzyskania dostępu – analogicznie jak z samochodami – im więcej drobnych, a najlepiej nietypowych blokad, tym lepiej. Szczególnie że ustawienie kodu lub gestu jest naprawdę banalne i dostępne w preferencjach chyba każdego popularnego systemu operacyjnego. Złodziej może użyć brutalnych metod, aby włamać się do systemu po bezpośrednim połączeniu z telefonem, ale to już wymaga pewnego wysiłku i może być tak, że zniechęcimy osoby niepowołane na tyle, że jedyne co zrobią to wyczyszczenie urządzenia przed sprzedażą dalej.

Co jednak, jeżeli stracicie swój telefon czy tablet, który może i był zabezpieczony różnymi mechanizmami ale mimo wszystko boicie się o jego zawartość? Wtedy z pomocą przychodzą wbudowane funkcje mobilnych systemów operacyjnych umożliwiające zdalne wykasowanie danych zapisanych w urządzeniu lub odnalezienie lokalizacji urządzenia na mapie (jeśli nie pamiętacie gdzie on jest i macie dylemat czy został w domu czy w samochodzie, z pewną dokładnością możecie się tego dowiedzieć). Wymagają one wcześniejszej konfiguracji (może jednak dzięki lekturze tego artykułu zrobicie to zanim ktoś wejdzie w posiadanie Waszego telefonu czy tabletu :-), ale po kradzieży możecie wysłać z odpowiedniej strony internetowej wysłać żądanie wyczyszczenia prywatnych danych. Ta funkcja jest zarówno w systemie Android, jak też iOS i Windows Phone. Wada tego rozwiązania to fakt, że producent systemu operacyjnego zna Waszą lokalizację – co dla niektórych może być istotną przeszkodą (ale czego się nie robi dla spokoju sumienia).

Oprócz systemowych mechanizmów na pewno warto używać dodatkowego oprogramowania zabezpieczającego dane. Może to być aplikacja do przechowywania haseł w postaci zaszyfrowanej (podobna do instalowanych na komputerach, jak we wcześniejszym moim artykule), klient e-mailowy z opcją zabezpieczenia dostępu hasłem, czy nawet specjalne programy mające za zadanie zablokowanie dostępu do poszczególnych aplikacji w telefonie. Niektóre rozwiązania od razu mają wbudowane mechanizmy – tak jak klient e-mailowy do usługi BlackBerry instalowany w Androidzie czy iOS – wymusza wprowadzanie hasła za każdym razem jak otwieracie pocztę po dłuższej chwili nieużywania aplikacji.

Sposobów na uchronienie się przed kradzieżą danych jest wiele, ale niestety każdy z nich w mniejszym lub większym stopniu utrudnia korzystanie z urządzeń, a wymuszanie wpisywania hasła przy każdym odblokowaniu wyświetlacza czy wejściu do aplikacji może doprowadzić do rozstroju nerwowego. Od Was zależy, czy świadomie zrezygnujecie z dostępnych możliwości, czy też uznacie, że nawet w przypadku utraty telefonu lub tabletu nie ma się czego bać. Warto, żebyście chociaż nad tym się zastanowili, zwłaszcza że stale wzrasta ilość prywatnych i firmowych danych przechowywanych w tego typu sprzęcie i staje się on coraz powszechniejszy.

dodany: 03.12.2012 | tagi: ,

Prosty sposób na zabezpieczanie haseł

1

W poprzednim artykule nawiązałem do tematyki szyfrowania dysków i dbania o bezpieczeństwo własnych danych przechowywanych w komputerach. Już po napisaniu porównania dostępnych podejść pomyślałem, że warto też wspomnieć o powiązanym zagadnieniu, czyli o bezpieczeństwie haseł – istotnych elementów wszelkich mechanizmów ochrony dostępu do danych i urządzeń.

Zwykle użytkownicy komputerów korzystają ze standardowych i dostępnych mechanizmów, nie zastanawiając się, czy są one wystarczające i czy nie ma potencjalnego zagrożenia włamaniem. Wielu z nas konfiguruje hasło do profilu, będąc przekonanym, że nie jest możliwe uzyskanie dostępu do konta i kradzież danych. Wydaje nam się, że skoro mamy ustawione „trudne” hasło składające się z liter, cyfr i znaków specjalnych to nic się nie wydarzy.

Niestety, hasła do profili i kont nie są tak bezpieczne jak byśmy chcieli, a najsłabszym ogniwem jest zawsze człowiek. Nawet jeśli ustawimy niesamowicie trudne hasło, zaszyfrujemy dane na dysku i zainstalujemy kilka zabezpieczeń, zawsze ktoś może się domyślić jakie mamy hasło lub wejść w jego posiadanie nielegalnie. Wystarczy chwila nieuwagi, kartka z hasłem przyklejona koło monitora i jesteśmy w kłopocie. Działa to analogicznie do przyklejania numerów PIN do kart płatniczych (lub nanoszenia ich pisakiem na karcie (sic!).

Konto do profilu to jedne z wielu wrót do naszych danych – mamy przecież konta e-mailowe, na portalach społecznościowych, dostęp do konta bankowego przez internet. Zastanówcie się teraz przez chwilę, jak przechowujecie hasła do tych wszystkich usług i miejsc – czy pamiętacie wszystkie? A może notujecie je sobie w plikach tekstowych? Może trzymacie je w notatkach albo w programach pocztowych? Jaki sposób by nie był – po zalogowaniu do konta jest pełny dostęp do tych danych (chyba że zaszyfrujecie plik w którym są zapisane tak jak opisywałem poprzednio).

Przechowywanie haseł jest o tyle niewdzięczne, że często oprócz samego hasła musimy pamiętać także login, lokalizację usługi, nazwę schematu bazy danych czy inne powiązane informacje, bez których samo hasło jest bezużyteczne. Jeżeli wszystkie te dane zapiszemy np. w jednym niezaszyfrowanym pliku tekstowym, to w przypadku niepowołanego dostępu do niego przez inne osoby, będziemy mieli duży problem.

Rozwiązaniem, które jest popularne i odpowiada dokładnie potrzebom przechowywania haseł są programy z grupy „menedżerów haseł” (ang. Password Managers). Część z Was, drodzy Czytelnicy, pewnie wie o co chodzi lub przynajmniej o tym słyszała. Są to proste lub bardziej skomplikowane aplikacje instalowane na komputerze (lub dostarczane np. z systemem operacyjnym lub innymi programami), które umożliwiają bezpieczne zapisywanie wszelkich haseł, numerów kart kredytowych, loginów, PIN-ów itp. i zabezpieczenie dostępu do tych wszystkich danych jednym głównym hasłem (niestety nie da się tego uniknąć :-)).

Oprócz tego istnieją dodatkowe funkcjonalności – generatory haseł, zabezpieczenie przed złośliwym oprogramowaniem typu keylogger, wirtualne klawiatury w trakcie wpisywania hasła i inne opcje, ale przede wszystkim – dane są zaszyfrowane w bardzo bezpieczny sposób.

Przykładem takiego oprogramowania może być program KeePass, który oferuje naprawdę wszystko, co potrzeba i jest wygodny w użyciu. Po zapisaniu haseł możemy je łatwo skopiować do wykorzystania w formularzach, a przechowywane dane można na różne sposoby porządkować i uzupełniać. Sama aplikacja po uruchomieniu prezentuje się tak jak na poniższej ilustracji:

Dodawanie nowego hasła do bazy aplikacji jest trywialne i sprowadza się do wypełnienia jednego ekranu, przedstawionego na poniższej ilustracji:

Jest także dostępny generator haseł, który zapewnia odpowiednią ich zawartość i poziom bezpieczeństwa tak wysoki, jak sami zdecydujemy że ma być:

Powyżej zaprezentowana aplikacja jest jedną z wielu, a opisałem ją dlatego, że do tej pory się na niej nie zawiodłem i sprawdziła się w każdej typowej sytuacji, a co najważniejsze jest darmowa (open source) i zapewnia odpowiedni poziom bezpieczeństwa. Istnieje sporo alternatywnych rozwiązań, zarówno bezpłatnych, jak i komercyjnych i myślę, że warto spróbować także innych aplikacji, zanim powierzymy jednej z nich swoje dane.

Niezależnie od wybranego rozwiązania, warto na pewno skorzystać z jakiegokolwiek „menedżera haseł”. Trudno jest upilnować wszystkie liczne hasła, loginy i inne ważne dane tradycyjnymi sposobami (kartka, notes, plik tekstowy). Dzięki zastosowaniu takiej aplikacji, mamy wszystko w jednym miejscu i pod ręką.

Jak ze wszystkimi rozwiązaniami – to ma jedną naprawdę istotną wadę – jeśli zapomnimy hasło główne do pliku z danymi to możemy się pogodzić z faktem utraty wszystkich zapisanych danych – są zaszyfrowane. Ale to chyba jest mniej prawdopodobne niż zapomnienie połowy z tych haseł, które przechowujemy,  szczególnie, że wiele usług wymusza cykliczną zmianę, hasła np. co 30 dni. Pewnym ułatwieniem może być możliwość wykorzystania hasła do np. profilu w systemie Windows (przykładowo KeePass to oferuje) – wybór należy do użytkownika.

Dla porównania możliwości różnych aplikacji zamieszczam poniżej kilka linków – znajdziecie tam zestawienia i recenzje różnych rozwiązań i będziecie mogli łatwiej znaleźć coś dla siebie:

http://password-management-software-review.toptenreviews.com

http://lifehacker.com/5042616/five-best-password-managers

http://www.pcmag.com/article2/0,2817,2407168,00.asp

http://www.infoworld.com/d/security/review-7-password-managers-windows-mac-os-x-ios-and-android-189597

dodany: 28.11.2012 | tagi: , ,

Szyfrowanie własnych danych

1

Korzystanie z komputera wiąże się z generowaniem mniejszej lub większej ilości informacji i danych, zarówno zbędnych, jak i ważnych, cennych. Siadając codziennie do klawiatury nie zastanawiamy się, czy nasze działania zostawiają ślad i czy to, co tworzymy lub zapisujemy, jest bezpieczne. Nie chodzi tu o wykonywanie kopii zapasowych i zabezpieczanie danych przed utratą (wiadomo, że ludzie dzielą się na tych, co już robią backupy i tych, co kiedyś je będą robić), a bardziej o pewność, że nie trafią w niepowołane ręce.

Naturalne jest, że tworzymy dokumenty, wysyłamy maile i zapisujemy własne hasła w przeglądarkach oraz trzymamy cenne i wrażliwe dane osobowe w wielu plikach i katalogach na dysku. Najczęściej nie próbujemy ukryć informacji – w końcu jest to wygodne, jeżeli nie musimy za każdym razem do formularza w ulubionym serwisie po raz kolejny wpisywać od nowa loginu i hasła. Wiele osób nie ma nawet zdefiniowanego hasła do profilu w systemie operacyjnym. Jeżeli komputerem jest laptop, to do zagrożenia włamania z zewnątrz przez internet (np. w przypadku nieaktualnego oprogramowania antywirusowego czy braku jakichkolwiek zabezpieczeń) dochodzi możliwość fizycznej utraty sprzętu, a co za tym idzie całej zawartości twardego dysku. Jeżeli profil i dane nie są w żaden sposób zabezpieczone hasłem, złodziej ma ułatwione zadanie i nie musi się wysilać – poufne dane ma podane na tacy.

Dane strategiczne, dokumenty przygotowywane w pracy i inne tego typu informacje są dużo cenniejsze od prywatnych, a większość dużych firm dba o utrzymanie odpowiednich zabezpieczeń. Wielu z nas po krótkim zastanowieniu z pewnością poda wiele przykładów danych, które mogą być bardzo ważne i warte zabezpieczenia, pomimo że nie są związane z pracą – w tym loginy, hasła do kont bankowych, publikacje, projekty i wiele innych. Właśnie z tego powodu warto się odpowiednio przygotować i zastosować nawet proste rozwiązanie, które znakomicie utrudni potencjalnym złodziejom pozyskanie poufnych danych i materiałów.

Do zabezpieczenia danych można podejść na wiele sposobów. Od przechowywania w odpowiedni sposób loginów i haseł do kont (o czym postaram się napisać w kolejnym artykule) do szyfrowania plików, czy nawet całych partycji i dysków komputera. Oczywiście metoda zależy od potrzeb i możliwości. Poniżej postaram się omówić typowe sposoby radzenia sobie z tą tematyką.

Najbardziej banalny sposób to zabezpieczenie zawartości pojedynczego pliku. Jeżeli nie jest konieczne blokowanie dostępu do wielu dokumentów czy całych katalogów, najlepiej użyć prostego i ogólnie dostępnego rozwiązania, co pozwoli na odzyskanie zawartości bez konieczności instalowania aplikacji, a także utrudni przenoszenie pomiędzy komputerami. W takiej sytuacji zbyt silne zabezpieczenia i za duże utrudnianie sobie życia spowoduje, że porzucimy to i zaczniemy znów przechowywać dokumenty bez szyfrowania.

Dla pojedynczego pliku można użyć chociażby archiwizacji do pliku .zip z użyciem hasła dostępowego lub mocniejszych zabezpieczeń jak AES (można użyć .rar lub innego ulubionego formatu. Trzeba tylko pamiętać, że o ile .zip da się rozpakować praktycznie w każdym systemie operacyjnym bez instalowania czegokolwiek, to z pozostałymi już nie będzie tak bezproblemowo). Plik zapisany w taki sposób nie wymaga dalszych czynności i mechanizmów, a zdecydowana większość osób, które wejdą w jego posiadanie, nie będzie w stanie nic z tym zrobić.

Jeżeli plików mamy więcej, albo chcemy zabezpieczyć całe katalogi, wtedy możemy spakować cały istotny pakiet dokumentów do pojedynczego pliku .zip, ale nie zawsze jest to wygodne. Każda zmiana pojedynczego pliku powoduje konieczność ponownej kompresji archiwum, trzeba wypakowywać zawartość itd. – to podejście może bardzo szybko zniechęcić.

Dużo lepszym rozwiązaniem jest zastosowanie wirtualnych dysków – dużych plików w systemie operacyjnym widocznych jako osobne wolumeny, z których można korzystać jak ze zwykłych nośników (działa to podobnie jak pendrive). Różni się to tym, że trzeba zainstalować odpowiednie oprogramowanie, które jest w stanie skorzystać z takiego pliku/dysku. Przed użyciem trzeba zamontować taki dysk, który staje się dostępny w systemie operacyjnym i można bez przeszkód odczytywać z niego dane, wgrywać nowe pliki i edytować istniejące, aż do momentu odmontowania, gdy taki dysk staje się zwykłym zaszyfrowanym plikiem uniemożliwiającym dostęp do zawartości bez hasła.

Musimy jednak pamiętać, żeby montować i odmontowywać zaszyfrowany plik – jeżeli go nie odłączymy, potencjalny włamywacz po odblokowaniu konta użytkownika uzyska dostęp do danych tak, jakby były przechowywane w postaci jawnej na dysku twardym (oczywiście do najbliższego restartu systemu operacyjnego). Dzięki zastosowaniu zaszyfrowanego dysku możemy sami wybrać co zabezpieczamy. Nie ma konieczności szyfrowania wszystkiego, co może powodować niższą wydajność systemu (co jest wadą kolejnego, poniżej omówionego rozwiązania).

Najbardziej wygodnym i jednocześnie bardzo bezpiecznym sposobem zabezpieczenia danych jest szyfrowanie całego dysku twardego komputera (łącznie z wszystkimi plikami systemowymi, a w części rozwiązań także sektorami startowymi dysku). Nie musimy pamiętać, żeby zabezpieczać pojedyncze pliki czy katalogi, montować, odmontowywać itd. Wada tego rozwiązania (jak chyba wszystkich metod) jest taka, że po zalogowaniu na konto użytkownika jest dostęp do całości zawartości dysku, do której dany użytkownik ma nadane uprawnienia. Zaleta niezaprzeczalna – zawartość całego dysku jest ukryta i niedostępna dla nieuprawnionych osób. Inne rozwiązania szyfrują i zabezpieczają tylko fragment lub pojedyncze pliki – może się zdarzyć tak, że coś się pominie, coś się zapisze nie tu gdzie powinno i furtka gotowa. Tu nie ma takiej możliwości.

Dodatkową zaletą tego rozwiązania jest obecność wbudowanych mechanizmów umożliwiających szyfrowanie całego dysku w systemach operacyjnych używanych powszechnie. Można kilkoma kliknięciami i bez instalowania czegokolwiek zabezpieczyć swoje dane. Trzeba jednak pamiętać, że szyfrowanie, podobnie jak kompresja, wymaga pewnego narzutu w przetwarzaniu danych odczytywanych i zapisywanych na dysku – analogicznie jak protokół https przy komunikacji internetowej. W tym podejściu każdy plik, także systemowy, wymaga deszyfracji przy jego odczycie i ponownego szyfrowania przy zapisie.

O wyborze sposobu szyfrowania każdy musi zdecydować sam, bazując na opinii o danym rozwiązaniu czy też możliwościach finansowych. Część produktów jest darmowa, część niestety płatna. Mechanizmy szyfrowania całych dysków są wbudowane w systemach operacyjnych i można łatwo z nich skorzystać. Można też zainstalować dodatkowe produkty firm, które się w takich rozwiązaniach specjalizują.

Możliwości jest naprawdę wiele, o czym można się przekonać wyszukując dostępne opcje w internecie. Dobre porównanie znajduje się w Wikipedii (Comparison of disk encryption software). Na pewno warto się zastanowić nad wprowadzeniem przynajmniej prostego zabezpieczenia, a będzie można spokojniej spać i nie bać się o własne, cenne dane.

Nie można też wpadać w paranoję  – na cóż nawet najlepsze zabezpieczenia, jeśli hasło do nawet najlepiej zaszyfrowanego komputera można znaleźć na kartce obok komputera (lub na naklejce na komputerze)? :-)